这是一个创建于 444 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为 Chrome 关不掉 WASM 这个高危功能(不自己编译 Chromium 的话唯一的关闭方法是快捷方式里加个启动参数,但这样做如果 Chrome 不是从快捷方式启动的话就不会生效),不登录账号的情况下也会在后台频繁请求 Google 和 Edge 超级多遥测( /t/1000852 )的原因,我一直在使用 Firefox 。然而 Firefox 小 Bug 不断,经常出现浏览器窗口被置顶(显示在所有其它窗口前)之类莫名奇妙的 bug 。Firefox 121 版开始还出现了关闭 WASM 后无法使用刷新按钮的严重 Bug ,等待几个月官方一直没修,实在受不了没有刷新按钮了,注册了 Bugzilla 提交了反馈。https://bugzilla.mozilla.org/show_bug.cgi?id=1890137 等了 20 天,他们给了一个 workaround ,让我把 wasm_trustedprincipals 打开,算是解决了,但是最近又遇到了浏览器非常频繁卡死,只能把主力浏览器暂时切换到 Ungoogled Chromium 。
今天意外看到 Discord 里有群友在推荐 Firefox ESR 版,是基于 Firefox 115 制作的,提供安全维护,试了下非常丝滑,应该是最好用的浏览器了。
今天意外看到 Discord 里有群友在推荐 Firefox ESR 版,是基于 Firefox 115 制作的,提供安全维护,试了下非常丝滑,应该是最好用的浏览器了。
 |
1
0superx0 2024-05-25 20:29:49 +08:00  20
最适合你的不代表是最好的
|
 |
2
HojiOShi 2024-05-25 20:37:38 +08:00
不懂。为什么说 WASM 这个功能高危呢?有几个安全漏洞就算高危吗?
|
 |
3
loveqianool 2024-05-25 20:39:43 +08:00 via Android 4
The most of source code of version 10 or later of Floorp Browser, the most Advanced and Fastest Firefox derivative 🦊
floorp.app |
 |
4
drymonfidelia OP @HojiOShi 从 WASM 功能出现开始就一直不停地出新漏洞,随便搜了一下 CVE-2022-28990 CVE-2021-30734 CVE-2024-4775 CVE-2024-34251 而且这个功能一出漏洞都是高危,可以直接执行远程代码
|
|
5
drymonfidelia OP @loveqianool 感谢推荐,想知道这个浏览器是基于什么版本 Firefox 制作的,我在主楼提到的几个 bug 修复了吗?
|
|
6
drymonfidelia OP @HojiOShi 连遥测最多的 Edge 都提供了关闭 WASM 的功能,足以说明这个功能多危险了
|
 |
7
cmdOptionKana 2024-05-25 20:53:34 +08:00
感谢告知,立即下载了,感觉还不错
|
 |
8
MoeMoesakura 2024-05-25 21:22:11 +08:00
“最好用”这可不好,现在一大堆都是以 chrome/v8 的规范写的,用 firefox 就卡的不行(体感最明显的就是 B ,ytb 都没上来 50%cpu )
|
 |
9
OleJienNor 2024-05-25 21:34:39 +08:00 via Android
前端开发同时也是用户啊,如果在网上联名抗议谷歌现在的“不做人”原则,同时提倡用户使用其他浏览器,规范上也可以做出调整。还是能产生一些影响的
|
 |
10
smallboy19991231 2024-05-25 21:37:07 +08:00 via iPhone
其實蘋果的瀏覽器挺不錯的
|
 |
11
ranaanna 2024-05-25 21:56:44 +08:00 3
OP 的逻辑有点奇怪。要避免安全漏洞被利用,应该是尽快升级浏览器使其保持最新,而不是关闭“高危功能”。比如 OP 提到的 CVE-2024-4775 ,查到受影响到的是 firefox <126 的版本(相应的 ESR 版可能是 <115.10 )。ESR 版本也要更新到最新才有可能减少漏洞数量,另外 ESR 版是稳定优先,安全更新可能会慢一点,意味着同时期漏洞数量可能会更多
|
|
12
drymonfidelia OP @ranaanna 是的,要更新到最新才能解决安全问题,但是更新到最新就会出现我主楼提到的一堆严重影响使用的 bug
|
 |
13
ntedshen 2024-05-25 22:09:22 +08:00
隔壁民科级保密版块都是拿 wasm 当前端数据安全的最终解决方案。。。
到你这成因为有远程执行漏洞所以太危险了。。。 我的建议是要不你们打一架先。。。 |
|
14
drymonfidelia OP @ranaanna 补充#12 而 ESR 更新到最新不会出现上面这些 bug ,所以我觉得它很棒
|
 |
15
belin520 2024-05-25 22:12:13 +08:00 via iPhone
最好的浏览器应该是 360 极速浏览器
|
 |
16
0o0O0o0O0o 2024-05-25 22:19:34 +08:00
这么担心被 RCE 的话,考虑禁用 JIT 吗?
|
 |
17
Lightbright 2024-05-25 22:25:57 +08:00 via Android
参见 chrome html 解析也能出 rce
|
 |
18
UFc8704I4Bv63gy2 2024-05-25 22:26:12 +08:00
Firefox ESR 一直是主力浏览器,chrome 系列从来没做过主力,自从 2004
|
 |
20
Yzh361 2024-05-25 22:40:03 +08:00 via Android
好多年前就用过了… 现在用 kiwi
|
 |
21
z5238384 2024-05-25 22:45:46 +08:00
以外的感觉不错,谢谢楼主
|
 |
22
Johnming 2024-05-25 22:51:06 +08:00
感谢,打算尝试
|
|
23
ntedshen 2024-05-25 22:53:22 +08:00
|
|
24
drymonfidelia OP @Lightbright 之前 webp 渲染也出过 RCE ,但没有像 wasm 这样每年都出好几个漏洞
|
|
25
drymonfidelia OP @ntedshen 隔壁哪个帖子?前端密码加密那个帖子吗?我也是支持前端加密没有意义那边的,如果攻击者能截获你的网络流量,自然也能 log 你的输入
|
|
26
drymonfidelia OP @drymonfidelia #25 修正:也能在篡改网页里插入 log 你输入的代码
|
 |
28
jianchang512 2024-05-25 23:08:16 +08:00
都是从事军事活动的吗,安全级别这么高
|
|
29
ntedshen 2024-05-25 23:11:55 +08:00
@drymonfidelia 其实我是有些想去隔壁问“但是你们的终极武器现在充满了 cve ,这要怎么办”了(狗头
话说 esr 一遍似乎也就是一年期,估计也快更了。。。 |
|
30
drymonfidelia OP @Lightbright 另外 html 解析的 rce CVE-2024-0517 需要在关闭 sandbox 下才触发,没什么影响
|
|
31
drymonfidelia OP @jianchang512 等你在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失,你也会重视的
|
 |
32
enihcam 2024-05-25 23:32:27 +08:00
@drymonfidelia 试一下 thorium ,然后再发一篇“我又找到了最好用的浏览器!”
|
 |
33
YaD2x 2024-05-25 23:42:51 +08:00 1
违法广告法
|
 |
34
tianzi123 2024-05-25 23:52:31 +08:00
@drymonfidelia #31 逛了 15 年互联网也没碰到你说的情况
|
|
35
drymonfidelia OP @0o0O0o0O0o 没关,查了下 JIT 的 CVE 好像都不能穿沙盒
|
 |
36
capgrey 2024-05-26 02:12:30 +08:00
|
 |
37
jqtmviyu 2024-05-26 03:51:55 +08:00
@drymonfidelia #5 点进去主页就看到介绍了. 也是 esr.
|
 |
38
songunity 2024-05-26 04:08:30 +08:00
最好用的就是 chrome
|
 |
39
Yadomin 2024-05-26 04:35:26 +08:00 via Android
我寻思 V8 也挺多漏洞的,要不给 js 也禁用了吧
https://github.com/rycbar77/V8Exploits |
 |
40
neptuno 2024-05-26 08:00:01 +08:00
你应该说这是最安全的浏览器
|
 |
41
abccccabc 2024-05-26 08:07:33 +08:00 1
centbrowser 我现在用的最顺手的 chrome 浏览器。目前我用它的 2.8 版本(老古董了),大部分网页都能正常浏览。
|
 |
42
slamDunkLINk 2024-05-26 08:48:37 +08:00
@abccccabc #41 一直用这个浏览器,但是就是系统版本更新太慢了
|
 |
44
jiaorong 2024-05-26 10:32:38 +08:00
最好用的浏览器是 IE ,
|
|
45
0o0O0o0O0o 2024-05-26 10:53:34 +08:00
@drymonfidelia #35 害怕 RCE 的话应该不能只看单个 CVE 吧? Apple 为高级保护禁用了 JIT ( https://news.ycombinator.com/item?id=32842749 ),JIT 在 Chrome 漏洞利用中也非常重要,project zero 说的 ( https://googleprojectzero.blogspot.com/2021/01/in-wild-series-chrome-exploits.html ):All vulnerabilities used by the attacker are in V8, Chrome’s JavaScript engine; and more specifically, they are JIT compiler bugs. While classic C++ memory safety issues are still exploited in real-world attacks against web browsers, vulnerabilities in JIT offer many advantages to attackers. 当然我不专业,并不确定 Firefox 是不是有什么特别原因让它在这方面天然就比 Safari 和 Chrome 安全。
> 在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失 尽管我也用 Firefox ,但如果真的在意这方面,我觉得应该用官方最新版 Chrome ,Chrome 一年支付多少赏金 Firefox 一年支付多少赏金? Chrome 多少用户 Firefox 多少用户?一个软件不会自动变得安全的,是要人要钱的。对于这种角落里的版本,我赞同 #11 ,我认为这是虚假的安全性。 |
 |
46
kiii 2024-05-26 12:41:30 +08:00
FF 确实很好用,但是速度比 chrome 慢,edge 最好了,但是没有便携版,所以我选择 cent 备用 FF
|
 |
47
msg7086 2024-05-26 12:50:03 +08:00
> 等你在什么都没点开的情况下也中了勒索病毒、盗号木马,造成了很大损失,你也会重视的
这不就是 CPU 侧信道攻击吗?插了 CPU 的全中招了。 |
 |
49
zyscn 2024-05-26 16:26:37 +08:00
最好用的是百分浏览器
|
 |
50
liltsy9596 2024-05-26 18:08:38 +08:00
最近用了 Arc ,挺不错的
|
 |
51
VYSE 2024-05-26 18:36:45 +08:00 via Android
FF 从三方收 exp 价格是比较低的,意味着 0day 更容易发现与购买
|
 |
52
8E9aYW8oj31rnbOK 2024-05-26 19:14:15 +08:00
Thorium 浏览器路过看看
|
|
53
drymonfidelia OP |
 |
54
bollld607 2024-05-26 19:18:14 +08:00 via Android
下个月 Chrome 将默认禁用并不允许从 Chrome Web Store 安装 Manifest V2 扩展了,我也不得不转投 Firefox 了。
|
 |
55
xifangczy 2024-05-26 19:21:08 +08:00
啊?非要禁止 wasm 有那么麻烦么。。写个油猴脚本
WebAssembly = null; 不就完了么。。 |
 |
56
rulagiti 2024-05-26 19:44:53 +08:00
一直在用 esr 版本好多年了
|
 |
57
1una0bserver 2024-05-27 00:04:42 +08:00 via Android
op 的逻辑有点逆天,从实现了 wasm 开始的 v8 经常出漏洞=wasm 高危?这明显是 c++老项目堆 bug 的原因吧,你要不看看其他 wasm 的运行时,有几个经常出 cve 的?云原生那边解决安全问题的一种趋势就是把原生代码编译到 wasm 在沙箱里执行,怎么到你这里就成了 wasm 经常出问题呢?而且换一种思路,从浏览器实现了 wasm 到现在正好是勒索软件和黑客活动逐渐增多的时间段,可不可以认为是黑客活动逐渐增多并且盯上了浏览器的原因?
|
 |
58
zhiyu1998 2024-05-27 10:30:56 +08:00
我是苹果用的 arc ,Windows 电脑用的百分
俺去试试 Firefox ESR |
 |
59
byzod 2024-05-27 10:52:56 +08:00 via Android
我捋捋哈
某"武林高手"在一群气血充沛, 身强体壮的小伙子中间挑挑拣拣, 拉出一个老得胡子都掉光的老头, 高兴的宣布:我找到了最好的习武奇才! 是这个意思吗 |
 |
60
Aawhale 2024-05-27 11:03:50 +08:00
盖个楼哈~
Here’s a link to download Arc, the browser I was telling you about! https://arc.net/gift/9d696be7 感兴趣的可以下载试试,我纯纯为了拿 icon |
 |
61
allenby 2024-05-27 13:03:49 +08:00 via Android
有一个 ungoogle 的 chromium
|
Select Language